Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Cross-Site Scripting (XSS) en SurgeMail de NetWin

Fecha de publicación 29/11/2024
Identificador
INCIBE-2024-0589
Importancia
3 - Media
Recursos Afectados

SurgeMail, versión 78c2.

Descripción

INCIBE ha coordinado la publicación de 1 vulnerabilidad de severidad media que afecta a SurgeMail, un servidor seguro de correo electrónico multifuncional, la cual ha sido descubierta por Cristhian Pacherres, Mauricio Jara y Alfredo Mariños.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2024-11990: CVSS v3.1: 4.6 | CVSS AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N | CWE-79.
Solución

La vulnerabilidad ha sido solucionada por el equipo de NetWin en la versión 78e.

Detalle

CVE-2024-11990 una vulnerabilidad de Cross-Site Scripting (XSS) en SurgeMail v78c2 podría permitir a un atacante ejecutar código JavaScript arbitrario por medio de un elaborado payload inyectado en parámetros vulnerables.

Listado de referencias
Página web de SurgeMail
Etiquetas